KoreanLocker
KoreanLocker is a ransomware that runs on Microsoft Windows. It is part of the HiddenTear family. Payload Tranmission KoreanLocker hides as a fake PDF document that featured a double extension. PC users received the payload as an attached PDF to spam emails. Double-clicking the file triggered a UAC (User Account Control) prompt and choosing 'Yes' allows KoreanLocker to be installed on the primary system partition. Infection KoreanLocker proceeds to encipher data containers with the following extensions: .3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, .conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xps, .xml, .ckp, .zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2. KoreanLocker makes objects unusable, which causes read errors in programs that the user is using to edit the targeted files. The user can discern the enciphered objects by their names, which feature the '.locked' suffix. For example, 'Bran Castle.png' is renamed to 'Bran Castle.png.locked.' The last steps made by the threat are eliminating the Shadow Volume snapshots and loading the ransom note onto the user's desktop. The ransom notification is presented as a simple note titled 'README.txt,' which can be found in the Documents library and the desktop folder. The message is written in Korean and directs users to pay 1 Bitcoin (≈15202 USD/12737 EUR) to the wallet — 1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v. Then, an email is to be sent to 'powerhacker03@hotmail.com,' and the senders need to wait for a decryptor to arrive in their email inboxes. The ransom note saids the following: ------------------ koreanLocker Ransomware ---------------- - 당신 의 컴퓨터 가 랜섬 웨어 에 감염 되었습니다 당신 의 개인적 파일, 예 를 들어 사진, 문서, 비디오 외 다른 중요한 문서 들이 RSA-2048 이란 강력한 암호화 알고 림즘 을 이용 하여 암호화 되었습니다 당신 의 개인 키 는 우리 의 서버 서버 에 생성 되어 저장 되었습니다 그렇게 되면 그 누구도 할 수 파일 을 영원히 복호화 할 할 수 그리고 그리고 장담 하건데 개인 키 가 없이는 절대 복호화 코인 을 지불 하는것 다시 한번 비트 코인 을 있는 방법 은 않습니다 않습니다 수 하지 하지 하지 하지 하지 하지 하지 하지 당신 에게 할당 된 비트 코인 주소 를 반드시 확인 하세요. 한글 자라도 틀리게 입력 하여 보내 시면 복구 가 되지 않고 당신 의 비트 코인 은 사라지게 됩니다 당신 은 '24 시간 '안에 지불 하셔야 합니다 당신 의 개인 ID (personal ID) 를 반드시 확인 하세요 만약 그 시간 안에 지불 하지 않으면 당신 의 개인 개인 키 는 자동적 으로 우리 의 서버 에서 지워 지게 됩니다 명심 하세요 비트 코인 주소 1: 1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v 비트 코인 지갑 을 생성 하시고 우리 의 비트 코인 주소 로 1 비트 코인 (1BTC). 세가지 스텝 을 따라 당신 의 파일 을 복구 하세요 시간 을 낭비 하시지 마세요 암호화 된 파일 들이 속한 폴더 안의 설명 문서. (.Txt) 는 바이러스 가 아닙니다 설명 문서 (.txt) 가 파일 들의 암호 해독 을 도와 드릴 것 입니다. 암호화 된 파일 들이 속한 폴더 에서 파일 복원 에 관한 설명 문서 (.txt) 를 보실 수 있습니다 우리 는 착한 사람들 은 아닙니다. 하지만 이야기 한 부분 에 있어서는 반드시 지킵니다 최악 의 상황 은 이미 발생 했으며 앞으로 파일 들의 운명 은 귀하 의 판단 과 빠른 조치 에 달려 있음 을 명심 하시기 바랍니다 추가 정보: 1). 지불 은 비트 코인 만으로 만 가능 합니다. 따라서 1 비트 코인 (1BTC) 를 비트 코인 거래소 를 통하여 구매 하세요. 그 후 화면 (랜섬 노트) 비트 코인 주소 (Bitcoin Address) 로 1 비트 코인 (1BTC) 를 송금 하세요 2). 당신 의 개인 ID (Personal ID) 를 아래 의 공식 메일 주소 로 보내 주세요 3). 지불 을 완료 하시고 메일 을 보내시 주시면 당일 의 메일 로 복호화 툴 과 개인 키 를 보내 보내 ) 4) 비트 코인 을 송금 하시고 메일 로 개인 ID (Personal ID) 를 코리아 공식 메일 주소 로 보내 주세요 *** 개인 키 (Private Key) 는 당신 의 파일 을 복호화 하여 복구 하는데 아주 중요한 키 입니다 공개 키 (Public key) 는 당신 의 파일 을 암호화 하는데 사용 되었습니다 공식 주소: www.bithumb.com 공식 주소: www.coinone.com 공식 주소: www.localbitcoins. com 암호화 된 파일 들이 속한 폴더 안의 설명 문서 (.txt) 는 바이러스 가 아닙니다 설명 문서 (.txt) 가 파일 들의 암호 해독 을 도와 드릴 것 입니다. 비트 코인 주소: 1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v Officail Mail: powerhacker03@hotmail.com *** Best Regards Korean Ransomware Team This translates to: Your computer is infected with Ransomware Your personal files, such as photos, documents, videos and other important documents, are encrypted using strong encryption algorithms called RSA-2048 Your private key is created and stored on our server No one can decrypt your files forever. And I guarantee you will never be able to decrypt without a private key. Again, there is no way to pay for a bit coin and decode it Be sure to check the bit coin address assigned to you. If you send it by mistake, it will not recover and your bit coin will disappear You have to pay in '24 hours' Be sure to check your personal ID If you do not pay within that time, your private key will be automatically deleted from our server Please keep in mind Bit coin address: 1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v Create a bit coin purse and send us a bit coin (1BTC) to our bit coin address. Follow the three steps to restore your files Do not waste your time. The explanatory document (.txt) in the folder to which the encrypted files belong is not a virus Explanation document (.txt) will help you decrypt the files. You can see a document (.txt) about restoring files in the folder where the encrypted files belong We are not good people. But in a part of the story, Please note that the worst has already happened and that the fate of the files will depend on your judgment and quick action. Additional information: 1) Payment is only possible with bit coin. Therefore, buy 1-bit coin (1BTC) through BITC. Then transfer the 1-bit coin (1BTC) to the screen (Random Note) bitcoin address Please send your personal ID to the official e - mail address below. 3) .Please complete the payment and send us an e-mail, and we will send your decryption tool and private key to the e-mail of the day 4) Please send a bit coin and mail your personal ID to Korea official e-mail address. *** Private key is the key to decrypting and recovering your files The public key was used to encrypt your file Official address: www.bithumb.com Official address: www.coinone.com Official address: www.localbitcoins.com The explanatory document (.txt) in the folder to which the encrypted files belong is not a virus Explanation document (.txt) will help you decrypt the files. Bit coin address: 1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v Officail Mail: powerhacker03@hotmail.com *** Best Regards Korean Ransomware Team' Category:Assembly Category:Ransomware Category:Win32 ransomware Category:Win32 Category:Win32 trojan Category:Microsoft Windows Category:Trojan